Если рассматривать только среду Windows, каковы преимущества внедрения OpenVPN в качестве корпоративной службы VPN вместо встроенных протоколов Windows? В частности, новый протокол SSTP уже преодолел одну из слабых сторон PPTP, которая не может проходить через межсетевой экран / NAT.
Мне интересно, есть ли причина не использовать интегрированное решение Windows. Сила безопасности может быть проблемой, но я не уверен, насколько они разные (я знаю, что MS VPN был уязвим, но так ли это?)
Спасибо.
Доступность клиентов для OpenVPN шире, чем для SSTP (по крайней мере, сейчас). Например, я могу купить IP-телефон со встроенным клиентом OpenVPN. AFAIK, Microsoft не портировала клиент SSTP на Windows XP (о чем они изначально заявили), так что это сокращает большую клиентскую базу. В отличие от этого, SSTP не требует установки стороннего программного обеспечения в поддерживаемых клиентских операционных системах.
В OpenVPN нет платы за лицензию на каждого клиента, как в случае с предложениями Microsoft. (Я не буду высказывать свое мнение о том, для каких конкретных случаев требуется Windows CAL, а для каких нет ... В некоторых документах Microsoft утверждает, что клиенту DHCP нужна клиентская лицензия, поэтому я стараюсь избегать их. Если мой уборщик пылится вокруг моей машины с Windows Server, мне, вероятно, понадобится клиентская лицензия для них. В Правильное место, чтобы узнать о лицензировании, является "производитель" программного обеспечения тем не мение...)
Функциональность, встроенная в клиент OpenVPN для получения «проталкиваемых» маршрутов, более гибкая, чем у VPN-клиента Microsoft (если вы не используете CMAK, а на практике это оказалось ненадежным для меня).
Основным преимуществом OpenVPN в среде только для Win является использование UDP в качестве основного носителя, поскольку это позволяет избежать «проблемы распада TCP» см. http://sites.inka.de/bigred/devel/tcp-tcp.html для получения дополнительной информации о TCP в TCP.
hth, привет Стив
Внимание, что, к сожалению, SSTP (по состоянию на ноябрь 2011 г.) не будет работать через прокси-сервер с аутентификацией. Это задокументировано, хотя не многие осознают это.
Сетевой администратор также может обнаружить, что прокси-сервер без аутентификации обнаружит заголовки SSTP и разорвет соединения. Таким образом, утверждение, что он проходит через любой брандмауэр и т. Д., Верно с некоторыми оговорками.
OpenVPN может работать по HTTPS на прокси с аутентификацией. Этот трафик намного сложнее заблокировать, потому что он выглядит как обычный SSL, но это не так! При некоторой проверке пакетов на первых байтах содержимого возможно заблокировать эти пакеты. OpenVPN в этом режиме теряет прирост производительности "UDP", потому что OpenVPN будет работать в режиме TCP. В этом смысле он равен SSTP.
Для OpenVPN на стороне сервера вам необходимо иметь два общедоступных IP-адреса, если у вас также есть веб-сервер на порту 443, это для коммерческой версии. Для версии сообщества можно использовать порт 443 на том же IP-адресе, поскольку сервер обнаруживает протокол, отличный от OpenVPN, и перенаправляет трафик на альтернативный веб-сервер (443). Это работает только в версии сервера OpenVPN для Linux.
На SSTP можно использовать один и тот же IP / порт 443 как для трафика SSTP, так и для обычных страниц, защищенных веб-сервером.
На SSTP в сети может быть устройство разгрузки SSL, прежде чем оно достигнет сервера RRAS. В OpenVPN, поскольку трафик на самом деле не является «настоящим» SSL, то есть протокол openVPN инкапсулирует полезную нагрузку SSL, это невозможно.
В сообществе OpenVPN вам необходимо обрабатывать инфраструктуру KPI, сертификаты и т. Д., Что иногда может быть более сложной кривой обучения ... (в версии сообщества). В коммерческой версии эта задача упрощена.
В коммерческой версии OpenVPN аутентификация может быть интегрирована с LDAP (например, в AD). В сообществе это невозможно (не совсем уверен, но почти!). Идея о сертификатах клиентов; хотя можно использовать более простые схемы сертификатов.
O SSTP, это очевидно.
OpenVPN работает в режиме UDP очень хорошо, но PPTP также работает в UDP для канала данных (протокол GRE). Поскольку вопрос заключается в сравнении SSTP и OpenVPN, давайте просто предположим, что мы сравниваем TCP-трафик.
Итак, вы видите ... нет ничего лучше или хуже ... В моем случае я изо всех сил старался выбрать один из-за моих функциональных требований ... и все еще не полностью доволен тем, который мне пришлось выбрать (SSTP), но довольно доволен. Я говорю это потому, что если сеть (гостиница) блокирует PPTP, тогда можно использовать SSTP ... это автоматически обрабатывается клиентом VPN.
Клиент OpenVPN имеет аналогичный механизм отката.
SSTP уже поддерживается Linux, но, похоже, проект находится на начальной стадии.
PPTP Считается криптографически взломанный и должен не использоваться. Дело не только в длине ключа, но и в серьезных недостатках аутентификации и в Microsoft Point-to-Point Encryption (MMPE).
Мое личное предпочтение с точки зрения надежной архитектуры, широкой поддержки, высокой безопасности, надежного обхода сети и высокой производительности: OpenVPN.
Единственные преимущества, которые я вижу в SSTP, не являются техническими: очевидная лучшая интеграция в Windows и, возможно, более простая настройка (также из-за меньшей мощности).
Преимущества OpenVPN:
Это очень важно в любой среде с ограниченной пропускной способностью, где TCP-туннель застревает очень быстро.
Некоторые говорят, что https TCP-порт 443 работает в любой среде (отель и т. Д.), Что является разумным предположением, но это не UDP. - Я обнаружил, что порт 53 DNS UDP также работает во многих средах, и вы можете настроить OpenVPN там!
Я оставляю «только для Windows» здесь ... но если вы хотите подключить команду в гостиничном номере, это может быть сложно ... Один из вариантов - прийти с небольшим маршрутизатором (работающим с OpenVPN) и позволить компьютеры / телефоны подключаются туда. Вы также можете сделать это с компьютерами под управлением Linux или Android-смартфоном с root-правами, ...
Я сделал это с маршрутизатором, работающим под управлением OpenWRT или Freetz, «послепродажной прошивки».
С опцией «плавающий» я заставил свой смартфон выдерживать переключение между закрытыми зонами Wi-Fi и мобильной сетью 3G без потери соединения! (Из-за давней ошибки это работает только в одноранговом режиме.)
Я заканчиваю здесь.
Еще одно преимущество OpenVPN в том, что вы можете запускать его через порт 443 (HTTPS). Это становится важным, когда ваши клиенты сидят в гостиничном номере, поскольку многие отели блокируют трафик на портах, отличных от 25, 80, 110 и 443, и тогда ваши обычные VPN-соединения перестают работать. То же самое верно и для многих крупных компаний.